金融行业网络安全等级保护测评实施指导书（三级）.docxVIP

金融行业网络安全等级保护测评实施指导书 文件号： LC-CS-51 2.1版第0次修订 金融行业网络安全等级保护测评实施指导书(三级) 序 号 点控制 点 测评项 操作步章 预期站果 1 结 构 安全 a)应保证主要网络设备和 通信线路冗余，主要网络设 备业务处理能力能满足业 务高峰期需要的1倍以上 1、访谈网络管理员，并查看拓扑图，主要网络设备和通信线路是否有冗余。 访谈网络管理员，查看拓扑图，主要网 络设备和通信线路是否有冗余。 2、访谈网络管理员，询问信息系统中的边界和关键网络设备的性能以及目 前业务高峰流量情况 访谈网络管理员，询问该设备在业务高 峰期是否能满足业务的需求 在高峰期查看各个部门业务员的操作情 况，确认是否出现网络传输方面的瓶颈 和关键设备处理能力的瓶颈 检查各个设备高峰期CPU和内存利用情 况 用命令show cpu usage和show mem 3、检查网络设计/验收文档，查看路由器的性能是否能满足基本业务需求 查看设计验收文档看是否有对主要设备 性能方而说明 4、访谈网络管理员，询问采用何种手段对网络设备进行监控。 有相关手段对网络设备进行监控 5、询问网络管理员，产品是否具有bypass功能。 访问网络管理员，是否具有软硬件 bypass功能.(bypass功能可以保证设 金融行业网络安全等级保护测评实施指导书 文件号： LC-CS-51 2.1版第0次修订 备在断电或者死机时，数据包还能通过 故障设备，网络不中断) b)应保证网络各个部分的 m 1.访谈网络管理员，询问网络的带宽情况：询问网络中带宽控制情况以及 带宽分配的原则 访谈网络管理员，高峰期网络的带宽情 况：询问网络中带宽控制情况以及带宽 分配的原则 2.查看设计验收文档看是否有对主要设备性能方面说明 查看设计验收文档看是否有对主要设备 性能方面说明。如比较高的吞吐量，并 发连接数能满足业务高峰期的需要。防 火墙要适合金融业网间互联的网络带宽 要求，不能成为网络瓶颈，或明显影响 网络工作效率。 3.检查各个设备在业务高峰期的CPU利用率和内存利用率 用show traffic(查看流量) 用命令show cpu usage和shov menory c)应在业务终端与业务服 务器之间进行路由控制建 立安全的访问路径 1.访谈网络管理员，询问网络设备上的路由控制策略措施有哪些，这些策 略设计的目的是什么 访谈网络管理员，路由控制是用动态路 由协议还是用静态路由协议，结合业务 需要详细了解每个路由条目的作用 2.检查边界和重要网络设备，查看是否配置路由控制策略(如使用静态路 由等)建立安全的访问路径 检查防火墙，看是否配置访问控制策略， 提供安全的访问路径。(原则上inside 可以访问任何outside和dmz区域：dnz 金融行业网络安全等级保护测评实施指导书 文件号： LC-CS-51 2 . 1版第0次修订 可以访问cutside区域：inside访问dnz 需要配合static静态地址转换；outside 访问dnz需要配合ac1访问控制列表) 使用命令show route和show static查 看，也可使用show run查看，并确定 数据流走向。 d)应绘制与当前运行情况 相符的网络拓扑结构图 1.查网络拓扑图，查看与当前运行情况是否一致 国剧的方式， 检查网络拓扑图对比现在运行的网络环 境，看是否一致 进机房实地查看网络没备的连接情况， 从而确认拓扑图是否和现行网络环境一 致 DNS.服务器配置中对主机的命多成采用 鸟护器个网技的拓具 e)应根据各部门的工作职 能、重要性和所涉及信息的 重要程度等因素，划分不同 的子网或网段，并按照方便 管理和控制的原则为各子 网、网段分配地址段，生产 1、访谈网络管理员，网段划分情况以及划分的原则； 2、询问重要的网段有哪些，对重要网段的保护措施有哪些。 3、了解生产网，互联网，办公网之间的网段，查看是否对生产网，互联网， 办公网实现了有效隔离 1、 询问网络管理员，网段划分情况及划 分细则。 2、 登录核心交换机，输入命令sho vlan,查看vlan划分情况 3、 询问生产网，互联网和办公网所在的 vlan或网段， 了解是否对其实现了 金融行业网络安全等级保护测评实施指导书 文件号： LC-CS-51 2. 1版第0次修订 网、互联网、办公网之间都 应实现有效隔离。 有效隔离。 (防火墙至少有3个网络接口，分别 用于互联网，办公网和生产网；办公网 和生产网之间的访问设置策略，只允许 彼此之间需要访问的地址和端口；办公 网对互联网的访问采用网络地址转换， 同时只开放需要访问的端口；互联网对 生产网的访问设置严格的端口和IP访问 策略，对不提供外部服务的IP地址和端 口